Uma nova onda de phishing vem explorando usuários do Facebook com uma técnica avançada chamada Browser-in-the-Browser (BitB). Em um cenário em que a rede social soma mais de 3 bilhões de contas ativas, o impacto desse tipo de ataque é enorme: perfis são sequestrados para espalhar golpes, coletar dados pessoais e aplicar fraudes de identidade.
A campanha foi identificada pela empresa de cibersegurança Trellix, que mapeou uma infraestrutura organizada usando páginas falsas, URLs encurtadas e serviços legítimos de hospedagem para dar aparência de credibilidade ao golpe.
Como funciona o golpe
O ataque começa quase sempre com um e-mail que tenta gerar urgência. As mensagens se passam por escritórios de advocacia alegando violação de direitos autorais, por alertas da Meta sobre logins suspeitos ou por notificações de suspensão da conta.
Ao clicar no link, a vítima é levada a uma página que imita o ecossistema do Facebook, muitas vezes com um CAPTCHA falso da própria Meta. Tudo parece legítimo, até o momento em que surge uma janela de login pedindo usuário e senha.
Essa janela é o coração do ataque.
O que é Browser-in-the-Browser
A técnica Browser-in-the-Browser foi criada em 2022 pelo pesquisador de segurança conhecido como Mr.d0x. Ela permite que um site malicioso crie, dentro do próprio navegador da vítima, uma janela de login totalmente falsa que imita em detalhes a interface do Facebook.
Isso é feito usando iframes, elementos HTML que permitem “embutir” uma página dentro de outra. O criminoso consegue copiar o visual completo: título da janela, barra de endereço falsa, botões, fontes e cores. Para quem olha, parece um pop-up real do Facebook.
O detalhe crítico é que a URL exibida ali não é uma URL de verdade. Ela é apenas texto inserido no código HTML. Pesquisadores da Trellix confirmaram que não existe conexão real com os servidores do Facebook, apenas uma simulação visual.
O usuário digita a senha achando que está se autenticando, mas na prática está entregando as credenciais diretamente aos criminosos.
Infraestrutura legítima sendo usada contra você
Um dos aspectos mais perigosos dessa campanha é o uso de plataformas confiáveis para hospedar as páginas de phishing. Os atacantes estão usando serviços como Netlify e Vercel, muito comuns no mundo de desenvolvimento web.
Isso dificulta o bloqueio automático, porque esses domínios normalmente não são associados a atividades maliciosas. Para completar, os links enviados por e-mail passam por encurtadores como Lnk.ink e Rebrand.ly, escondendo o destino real.
As páginas falsas copiam com precisão o design oficial do Facebook, incluindo paleta de cores, tipografia e logotipos. Algumas variações do golpe pedem primeiro dados básicos, como nome, e-mail e telefone, e só depois solicitam a senha da conta.
Assim que as credenciais são digitadas, elas são enviadas para servidores controlados pelos atacantes, que passam a ter acesso total ao perfil.
O que os criminosos fazem com contas roubadas
Uma conta do Facebook comprometida vira uma ferramenta poderosa. Os atacantes podem usar o perfil para espalhar phishing entre amigos e familiares, publicar golpes financeiros, roubar fotos e informações privadas, distribuir malware em grupos, aplicar fraudes de identidade ou até vender o acesso da conta em mercados clandestinos.
A Trellix destaca que muitos dos alvos são páginas comerciais ou perfis com grande número de seguidores, o que amplia muito o alcance dos golpes.
Domínios usados na campanha
A Trellix publicou dezenas de domínios ligados a essa operação de phishing, incluindo:
- report-copyright-metaplanet[.]net
- supportmeta-horizon[.]net
- performance-guidance-hub[.]pages[.]dev
- secure-community-lcf4[.]vercel[.]app
- eclectic-cupcake-fd4922[.]netlify[.]app
A lista completa está disponível no relatório técnico da empresa e serve para bloqueio em redes corporativas e soluções de segurança.
Como se proteger
A regra de ouro continua valendo: nunca confie em links de e-mails que falam sobre problemas na sua conta. Se receber um alerta, abra uma nova aba e digite manualmente facebook.com ou use o aplicativo oficial para conferir.
No caso de janelas de login, existe um truque simples contra o BitB: tente arrastar o pop-up para fora da janela do navegador. Janelas falsas criadas por iframe não se movem de forma independente. Se não der para puxar, é quase certo que é golpe.
Ativar autenticação de dois fatores também reduz bastante o risco de invasão, mesmo se sua senha vazar.
Outras boas práticas incluem verificar notificações diretamente no Facebook, nunca colar códigos sugeridos por mensagens de erro, desconfiar de URLs em domínios como netlify.app ou vercel.app pedindo login e sempre conferir o endereço completo antes de digitar qualquer credencial.
O lado das empresas
Para organizações, a Trellix recomenda monitoramento ativo de conteúdos hospedados em plataformas de nuvem que são frequentemente abusadas por golpistas. Também é essencial que filtros de e-mail e de navegação analisem o destino final de links encurtados antes que o usuário clique.
A empresa já criou assinaturas específicas para detectar essas campanhas em sua solução de Email Security, cobrindo variações que exploram o tema Meta, Facebook e violações de conta.
Uma ameaça que só tende a evoluir
O BitB é perigoso porque explora algo difícil de automatizar: a confiança humana. O usuário, acreditando estar interagindo com um fluxo legítimo de login, acaba ignorando as proteções tradicionais do navegador.
Essa campanha mostra como o phishing está ficando mais sofisticado ao combinar engenharia social, infraestrutura legítima e técnicas avançadas de front-end. A tendência é que esses ataques continuem evoluindo.
No fim das contas, a melhor defesa ainda é uma mistura de tecnologia, atenção e hábito: desconfiar, verificar por conta própria e nunca tratar janelas de login inesperadas como algo normal. Isso não é paranoia — é sobrevivência digital.
